Este webinar expone detalladamente el proceso de utilizar la distribución Kali Linux; orientada a realizar pruebas de penetración y auditorías de seguridad; y específicamente la herramienta OWASP Zed Attack Proxy (ZAP), para realizar un spidering automático y una búsqueda de directorios utilizando fuerza bruta; procesos correspondientes a la etapa del mapeo de una aplicación web, con el propósito de evaluar su seguridad.
Webinar Gratuito: Mapear una Aplicación Web con Zed Attack Proxy
1. Alonso Eduardo Caballero Quezada
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Sitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com
Jueves 6 de Agosto del 2020
WebinarGratuito
Mapear una Aplicación
Web con Zed Attack
Proxy
2. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Presentación
Alonso Eduardo Caballero Quezada es EXIN Ethical Hacking Foundation
Certificate, LPIC-1 Linux Administrator Certified, LPI Linux Essentials
Certificate, IT Masters Certificate of Achievement en Network Security
Administrator, Hacking Countermeasures, Cisco CCNA Security,
Information Security Incident Handling, Digital Forensics, Cybersecurity
Management Cyber Warfare and Terrorism, Enterprise Cyber Security
Fundamentals, Phishing Countermeasures Pen Testing, Certificate
Autopsy Basics and Hands On e ICSI Certified Network Security Specialist.
Instructor y expositor en OWASP Perú, PERUHACK, 8.8 Lucky Perú.
Cuenta con más de 17 años de experiencia y desde hace 13 años labora
como consultor e instructor independiente en las áreas de Hacking Ético
y Forense Digital. Ha dictado cursos presenciales y virtuales en Ecuador,
España, Bolivia y Perú, presentándose también constantemente en
exposiciones enfocadas a Hacking Ético, Forense Digital, GNU/Linux.
https://twitter.com/Alonso_ReYDeS https://www.youtube.com/c/AlonsoCaballero
https://www.facebook.com/alonsoreydes/ http://www.reydes.com
https://www.linkedin.com/in/alonsocaballeroquezada/ reydes@gmail.com
3. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Mapear una Aplicación Web
En una Prueba de Penetración existe una etapa de exploración, donde el
profesional intenta conocer tanto como sea posible el sistema en
evaluación.
El mapeo implica conocer aquello lo cual constituye la aplicación, además
de su entorno. Abarca diferentes elementos, los cuales se detallan a
continuación:
●
Enumerar el contenido y la funcionalidad de las aplicaciones
●
Si algo está oculto, se requiere realizar un proceso para tratar de
descubrirlo
●
Examinar cada aspecto sobre el comportamiento, mecanismos de
seguridad, y tecnologías
●
Determinar la superficie de ataque y vulnerabilidades
* https://www.zaproxy.org/getting-started/
4. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Zed Attack Proxy
ZAP es un herramienta libre y de fuente abierta para pruebas de
penetración, la cual es mantenida bajo el proyecto OWASP. ZAP está
específicamente diseñado para realizar pruebas contra aplicaciones web,
siendo flexible y ampliable.
En su núcleo, ZAP es aquello lo cual se conoce como un proxy “Hombre
en el Medio”. Se sitúa entre el navegador del profesional en pruebas de
penetración y la aplicación web, de tal manera puede interceptar e
inspeccionar los mensajes enviados entre el navegador y la aplicación
web, modificar el contenido si es necesario, para luego retransmitir los
paquetes hacia su destino. Puede ser utilizado como una aplicación
autónoma y como un proceso demonio.
ZAP proporciona funcionalidades para un amplio rango de niveles en
conocimientos; desde desarrolladores hasta profesionales nuevos en
pruebas de seguridad, como también especialistas en el tema.
* https://www.zaproxy.org
5. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Spider
Es utilizado para automáticamente descubrir nuevos recursos (URLs) en
un sitio particular. Inicia con una lista de URLs a visitar llamadas semillas,
lo cual depende de como el Spider inicia. Luego visita estas URLs,
identifica todos los hipervínculos en la página, y luego los añade hacia la
lista de URLs a visitar, luego el proceso continúa recursivamente
conforme nuevos recursos se encuentren. El Spider puede ser
configurado e iniciado utilizando ZAP.
Durante el procesamiento de una URL, el Spider hace una petición para
capturar el recurso, luego interpretar la respuesta identificando
hipervínculos. Tiene diferentes comportamientos cuando procesa ciertos
tipos de respuestas:
●
HTML
●
Archivos robots.txt
●
Formato OData Atom
●
Respuesta de texto No HTML
●
Respuesta No texto
* https://www.zaproxy.org/docs/desktop/start/features/spider/
6. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Forced Browse (Navegación Forzada)
Zed Attack Proxy intenta descubrir directorios y archivos utilizando una
navegación forzada.
Un conjunto de archivos son proporcionados, los cuales contienen un
extenso número de potenciales nombres de directorios y archivos.
ZAP intenta acceder directamente hacia todos los archivos y directorios
listados en el archivo seleccionado, en lugar de encontrar los enlaces en
estos.
Esta funcionalidad se basa en el código del proyecto de nombre
DirBuster de OWASP.
* https://www.zaproxy.org/docs/desktop/addons/forced-browse/
7. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Fuzzing
El Fuzzing es una técnica para enviar una gran cantidad de datos inválidos
o inesperados hacia algo.
Zed Attack Proxy permite hacer fuzzing a cualquier petición utilizando:
●
Un conjunto incorporado de Payloads
●
Payloads definidos mediante add-ons opcionales
●
Scripts personalizados
Algunos temas adicionales importantes:
●
Generadores de Payloads
●
Procesadores de Payloads
●
Procesadores de Ubicación de Payloads
●
Procesadores de Mensajes
* https://www.zaproxy.org/docs/desktop/addons/fuzzer/
10. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Cursos Virtuales Disponibles en Video
Curso Virtual de Hacking Ético
http://www.reydes.com/d/?q=Curso_de_Hacking_Etico
Curso Virtual de Hacking Aplicaciones Web
http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web
Curso Virtual de Informática Forense
http://www.reydes.com/d/?q=Curso_de_Informatica_Forense
Curso Virtual Hacking con Kali Linux
http://www.reydes.com/d/?q=Curso_de_Hacking_con_Kali_Linux
Curso Virtual OSINT - Open Source Intelligence
http://www.reydes.com/d/?q=Curso_de_OSINT
Curso Virtual Forense de Redes
http://www.reydes.com/d/?q=Curso_Forense_de_Redes
Y todos los cursos virtuales:
http://www.reydes.com/d/?q=cursos
11. Alonso Eduardo Caballero Quezada -:- Sitio web: www.reydes.com -:- e-mail: reydes@gmail.com
Más Contenidos
Videos de 57 webinars gratuitos
http://www.reydes.com/d/?q=videos
Diapositivas de los webinars gratuitos
http://www.reydes.com/d/?q=node/3
Artículos y documentos publicados
http://www.reydes.com/d/?q=node/2
Blog sobre temas de mi interés.
http://www.reydes.com/d/?q=blog/1
12. Alonso Eduardo Caballero Quezada
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Sitio Web: http://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com
WebinarGratuito
Mapear una Aplicación
Web con Zed Attack
Proxy
Jueves 6 de Agosto del 2020